La vente d’un fichier client/prospect n’ayant pas fait l’objet d’une déclaration (normale ou simplifiée) auprès de la CNIL préalablement à sa constitution et à sa mise en œuvre est nulle car le fichier en question est alors considéré hors du commerce et illicite.
Dans cette affaire, le fichier client avait été cédé parmi d’autres actifs d’un fonds de commerce de vente de vins aux particuliers.
L’acte de cession avait pour objet « le portefeuille de la clientèle de vente de vins au particulier de la société B, exploitée sur l’enseigne B » et précisait et que ce portefeuille comprenait « une liste d’environ 6000 clients référencés dans un fichier complet, manuscrit et classé, des classeurs ordonnés, un fichier de clients informatisé sous logiciel Windows, le numéro de téléphone … qui basculera via France Telecom sur le portable de Monsieur X… ». Le prix de cession était fixé à 46 000 euros (soit un prix de 7,66 euros / client).
Le cessionnaire du fichier, mécontent de la cession pour de multiples raisons, assigna le cédant en nullité de la cession, motif pris notamment que le fichier client de la la société B n’avait pas été déclaré à la CNIL (Commission Nationale de l’Informatique et des Libertés), conformément aux exigences de l’article 22 de la Loi Informatique et Libertés qui énonce que, sauf exceptions, « les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés ».
Ne pas déclarer un traitement, y compris un fichier client, est sanctionné pénalement. En effet, l’article 226-15 du Code pénal réprime et punit de 5 ans d’emprisonnement et de 300 000 € d’amende « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi ».
Selon la Cour de Cassation, une autre sanction d’un tel manquement aux formalités de déclaration préalable de fichiers clients auprès de la CNIL est donc la nullité de la cession desdits fichiers.
En effet, au visa de l’article 22 de la Loi Informatique et Libertés du 6 janvier 1978 et de l’article 1128 du Code civil qui prévoit qu’ « il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions », la Cour de Cassation juge que « tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente d’un tel fichier qui, n’ayant pas été déclaré, n’est pas dans le commerce, a un objet illicite ».
Cet arrêt est une mise en garde sérieuse à tous ceux qui font commerce de fichiers de clients ou de prospects sur la nécessité de respecter les dispositions de la Loi Informatique et Libertés du 6 janvier 1978.
En effet, le non-respect des formalités de déclaration préalable incombant à tout responsable de traitement est ici sanctionné par la nullité de la cession des fichiers clients non déclarés.
La question se pose légitiment d’une extension de cette solution à la cession de fichiers clients / prospects pour lesquels le responsable de traitement n’aurait pas respecté les obligations d’information des personnes concernées ou bien encore n’aurait pas reçu leur consentement lorsque celui-ci est nécessaire (fichiers « opt-in ») notamment pour une utilisation de leurs données à des fins de prospection commerciale par voie électronique.
Un fichier clients/prospects peut avoir de la valeur, à condition toutefois d’être conforme à la Loi Informatique et Libertés. A défaut, il ne vaut rien.
Il peut donc être utile et pertinent de procéder à un audit de ses fichiers afin de s’assurer de leur conformité avec la Loi et ainsi les valoriser…
A propos de Cass. Com., 25 juin 2013, Pourvoi n°12-17037
